![Citação](images/primus/blue/misc/quote_icon.png)
Originally Posted by
Alankoba
Para incluir o arquivo na lista de exceções não basta apenas envia-lo no formulário/e-mail, se você compacta-lo com Molebox ou Themida é enviar e receber em horas a recusa. O arquivo será analisado e se passar na análise ele deixa de ser detectado já na próxima atualização.
Eles não precisam descompilar o executável para analisá-lo, basta observarem alguns aspectos como.
* APIs que o executável adiciona como vinculo estático na tabela de importação (IAT).
* Combinação dos empilhamentos de alguns endereços, como por exemplo, uma chamada para GetAsyncKeyState e logo em sequência qualquer API de socket ou escrita de arquivo.
* Mudanças drásticas na estrutura dos arquivos como por exemplo, alterar o entryPoint para um OFFSET que esta fora do especificado no compilador do vc++6.0, isso acontece muito com o arquivo main.exe do Muonline, pois muitas customizações são feitas através de "hooks" em algumas chamadas e isso inclui o próprio entryPoint para carregar a DLL, veja bem, com certeza o compilador original do main.exe não utilizaria aqueles endereços para nada, portanto é um arquivo alterado por engenharia reversa, pode ser um malware...
Isso são apenas alguns exemplos, posso citar muitos outros se ainda tiver dúvida.
Eu já consegui deixar um main.exe 100% limpo na verificação do virustotal apenas com o report do falso-positivo nos formulários.
Acredito que nesses anos eu já tenha feito mais de 500 reports eu tive menos de 30 recusas, e em todos os casos sem exceção foi por conta de estruturas mirabolantes no main.exe como juntar o player.bmd no main com o Molebox.
De qualquer forma um relato recente... Semanalmente envio arquivos de um sistema de gestão para alguns AVs e NUNCA recebi uma recusa, as respostas chegam muito rápido, raras vezes passou de 48 horas.
O Virustotal possui mecanismos para mitigar problemas como liberação por tentativa/erro, note que se você enviar 3 arquivos no site e depois enviar um outro este sempre receberá a mensagem que não contem qualquer ameaça, basta recarregar a página e ver o resultado real, isso tudo pra evitar bots.
Cada AV faz a análise de uma forma especifica, e como já fiz vários reports notei que também há uma tentativa deles de evitarem que malwares verdadeiros entrem na exceção, vez ou outra eles dizem que o arquivo foi incluído, mas ao checar novamente ele continua lá.
Sobre a assinatura digital eu nem vou comentar, pois acredito que você deva saber que é a unica forma recomendada para de fato se livrar de problemas com false-positives. No tópico eu ensino a criar o próprio certificado, isso já ajuda a elevar a reputação do arquivo, faça você mesmo o teste.